Mozilla ha lanzado una actualización de seguridad de emergencia para Firefox para corregir una vulnerabilidad crítica (explotada activamente en ataques).

La falla, identificada como CVE-2024-9680 y descubierta por el investigador Damien Schaeffer (ESET), se produce en las líneas de tiempo de animación. Ocurre cuando el software sigue utilizando memoria que ya ha sido liberada, lo que permite a los atacantes inyectar código malicioso en esa región de memoria.

Las líneas de tiempo, que forman parte de la API de Firefox, controlan y sincronizan las animaciones en páginas web. Según el boletín de seguridad, «un atacante pudo ejecutar código malicioso en el proceso de contenido aprovechando esta vulnerabilidad«. Esta falla está siendo explotada en la naturaleza, afectando tanto a la última versión estándar de Firefox como a las versiones de soporte extendido (ESR).

Hasta el momento, Mozilla ha tenido que abordar una vulnerabilidad Zero-Day en Firefox solo en una ocasión, cuando corrigió CVE-2024-29943 y CVE-2024-29944 en marzo, tras ser descubiertas durante la competencia Pwn2Own Vancouver 2024.

Fuente:

Security Vulnerability fixed in Firefox 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1 — Mozilla